Uma ampla variedade de grupos entram na onda do ZeroLogon
Uma vulnerabilidade do Windows apelidada de ZeroLogon ( CVE-2020-1472 ), com pontuação CVSS de 10/10, tem gerado uma onda de ataques desde seu surgimento em agosto. Recentemente, vários atores de ameaças foram vistos abusando da vulnerabilidade ZeroLogon para visar organizações dos setores público e privado.
Envolvimento de APTs
Recentemente, os grupos TA505 (também conhecido como Chimborazo) e MuddyWater (também conhecido como Mercury) foram observados obtendo acesso direto ao controlador de domínio por meio da vulnerabilidade Zerologon.
- TA505 implantou uma campanha usando a vulnerabilidade ZeroLogon com atualizações falsas para se conectar à infraestrutura C2 do ator da ameaça e obter privilégios aumentados.
- Além disso, o ator da ameaça usou ferramentas legítimas, como o Windows Script Host (WScript.Exe), para executar scripts em várias linguagens de programação; a ferramenta Mimikatz para explorar o código da vulnerabilidade ZeroLogon; e o Microsoft Build Engine (MSBuild.Exe) para a construção de aplicativos.
- Poucos dias atrás, a Microsoft descobriu que um grupo de hackers patrocinado pelo estado iraniano, apelidado de MuddyWater, também estava explorando a vulnerabilidade Zerologon.
Um assunto popular em todo o mundo
Os ataques foram detectados pela primeira vez em setembro, após cerca de uma semana da publicação da prova de conceito .
- Na primeira semana de outubro , os hackers exploraram uma falha do WordPress (CVE-2020-25213) no plug-in WP-Manager do WordPress para aproveitar a vulnerabilidade Zerologon e atacar os controladores de domínio.
- De acordo com o DHS, os sistemas eleitorais do governo enfrentam ameaças de exploits ativos do Zerologon. No entanto, em meados de setembro, o DHS CISA divulgou uma diretriz de emergência para agências governamentais, instando-as a corrigir essa vulnerabilidade extremamente perigosa até 21 de setembro.
- A Microsoft publicou repetidamente um boletim de suporte instando todos os administradores do Windows Server a instalar a atualização de segurança para CVE-2020-1472.
A declaração de encerramento
O patch foi lançado em agosto de 2020, mas, de acordo com relatórios, poucas organizações o implementaram. Vários avisos sobre a vulnerabilidade crítica de escalonamento de privilégios ainda estão sendo enviados aos administradores de rede à medida que os cibercriminosos continuam a explorá-la.
Fonte: https://cyware.com/news/a-wide-range-of-threat-groups-pick-zerologon-61ab8313
